Zuletzt aktualisiert am 11.10.2023, 10:30 Uhr.
Vor kurzem ist eine kritische Sicherheitslücke in der libwebp-Bibliothek (CVE-2023-4863) bekannt geworden, welche die Ausführung von Remote-Code durch speziell gestaltete WebP-Bilddateien ermöglicht.
Wenn Sie QF-Test Versionen von 4.5.0 bis inklusive 7.0.5 verwenden, um Dateien aus nicht vertrauenswürdigen Quellen zu öffnen, sind diese durch manipulierte Protokolle oder Testsuiten anfällig für diesen Exploit.
Heute haben wir QF-Test Version 7.0.6 veröffentlicht, welche diese Sicherheitslücke schließt. Wir empfehlen allen Anwender:innen, auf diese Version zu aktualisieren.
Falls Sie nicht auf QF-Test 7.0.6 aktualisieren können und nicht-vertrauenswürdige Protokolle oder Testsuiten öffnen müssen, können Sie eine Installation von QF-Test 7.0.5 oder älter mit den folgenden Schritten schützen:
- Öffnen Sie das QF-Test Systemverzeichnis der QF-Test-Installation.
Starten Sie dafür QF-Test, wählen Sie in der QF-Test Menüleiste „Hilfe“ – „Info“ (unter macOS „QF-Test“ – „Über QF-Test“), wechseln Sie zum Reiter „Systeminfo“ und klicken Sie den Link neben dir.version.
2. Beenden Sie alle Instanzen von QF-Test.
3. Navigieren Sie in das Unterverzeichnis bin des QF-Test Systemverzeichnisses.
4. Löschen Sie das Verzeichnis webp aus dem bin Unterverzeichnis.
5. Laden Sie die aktualisierte WebP-Bibliothek herunter und extrahieren Sie das enthaltene webp Verzeichnis: Aktualisierte WebP-Bibliothek.
6. Kopieren Sie das extrahierte webp Verzeichnis nach bin.
Möglicherweise benötigen Sie zum Aktualisieren der Bibliothek Administrator-Rechte.
Update 11.10.2023:
Inzwischen wurde mit QF-Test 7.0.7 auch der eingebettete Chrome Browser für QF-Driver unter Windows aktualisiert.
Weiterhin wurden die Electron Demos bereinigt, welche von der jeweiligen Electron Demo-Testsuite heruntergeladen werden. Falls Sie ganz sicher gehen möchten, löschen Sie eventuell vorhandene Demos aus dem Verzeichnis electron im Cache-Verzeichnis von QF-Test. Dieses finden Sie analog zu Punkt 1 über den Link dir.cache.